Agil, aber sicher? Security im agilen Entwicklungsprozess OWASP Stammtisch München

Transkript

1 Agil, aber sicher? Security im agilen Entwicklungsprozess OWASP Stammtisch München

2 Über mich Andreas Falk NovaTec Consulting GmbH

3 Agile Security UNSERE SOFTWARE IST DOCH SICHER! SECURITY IST NICHT MEIN JOB!

4 Verschlüsselung a la stackoverflow.com Verschiebechiffre:

5 Nutzerverhalten?

6 Wir haben doch eine Security -Firewall!? Böse Requests Gute Requests? App A App B App C The Great Firewall App D Potentiell unsichere Systeme

7 Wir setzen doch sichere Frameworks und Plattformen ein!? und viele andere

8 Dokumentation, Tests und Security fallen zuerst weg! Dokumentation Security / Tests Features! Features

9 Qualität als Maslow sche Pyramide Selbstverwirklichung Anerkennung Soziales Sicherheit Grundbedürfnisse Maslow sche Pyramide

10 Neue Herausforderungen für Security NoSQL Big Data Storage Map/Reduce Computing Cloud Computing & Big Data Microservice Microservice Microservices Internet of Things (IoT)

11 Agile Security SICHERE AGILE ENTWICKLUNGSPROZESSE (SDLC)

12 Sichere Entwicklungsprozesse? Microsoft SDLC Adobe

13 Next Stop: Sichere Agile Entwicklung

14 Sichere Agile Entwicklung + Security?

15 Sichere Agile Entwicklung Scrum Framework Elemente

16 Ausgangslage: Sicherheit == Agil? Sprint 1 Sprint 2 Sprint n Story A Story B Story C Story D Story E Story F Story G Story H Security Features Go Live Penetrationstest

17 Zeitplanung der Angreifer: 24h x 7d Angriffe Zeit Sprint Sprint Sprint Sprint Sprint Sprint Sprint Penetrationstest DevOps Penetrationstest

18 Auslieferbare Inkremente in Scrum Das Entwicklungsteam besteht aus Profis, die am Ende eines jeden Sprints ein fertiges Inkrement übergeben, welches potentiell auslieferbar ist. Potentiell unsicher ausliefern?

19 Sichere Agile Entwicklung mit Scrum Daily Scrum Sprint Security Product Backlog Sprint Planning Security Sprint Backlog Sprint Review & Retro Potentiell auslieferbares Inkrement

20 Security Modelle, Vorschriften und Richtlinien BSIMM MS SDL Cobit ASVS SAMM TOGAF PCI DSS SABSA ITIL BSI Grundschutz CLASP SAFECode BDSG Sichere Agile Entwicklung

21 OWASP OpenSAMM

22 OWASP Application Security Verification Standard (ASVS) Framework für Sicherheitsanforderungen und -verifikation Design, Entwicklung und Test reduce the risk from waterfall methodology penetration testing at the end

23 Rollenspezifische Security Trainings Product Owner Sicherheits- und Datenschutz-Risiken Threat Modeling Spezifikation von Security Features AbUser Stories ( Evil Stories) Security- Officer Development Team Threat Modeling Secure Design und Coding Security Code Reviews Security Testing

24 Sichere Agile Entwicklung mit Scrum Entwickler Product Owner Scrum Master Security- Officer Test & QA

25 Sichere Agile Entwicklung mit Scrum Story A Story B Abuse Story Security Features Product Backlog Threat Modell pflegen AbUser Stories erstellen Security-Features mit hoher Prio Akzeptanzkriterien für Security Secure Definition of Ready

26 Threat Modeling ist auch Agil Produktiv Code erstellen 1 Festlegung Software- Architektur Security-Tests Grün! 6 User Stories, UML Diagramme Test Driven Development (TDD) Zuerst die Security Tests 5 2 Threat Model Als Diskussions-Basis Security Testfälle und AbUser Stories Absicherung gegen Bedrohungen 4 3 Identifikation und Vermeidung von Bedrohungen Elevation of privilege Spiel

27 AbUser Stories Business User Story AbUser Story 1 AbUser Story N Als Kunde möchte ich Produkte auswählen und zum Warenkorb hinzufügen um diese zu kaufen. Als Angreifer möchte ich Anfragen so manipulieren um Preise der Produkte im Warenkorb zu ändern.

28 Beispiel: AbUser und Security User Stories

29 Sichere Agile Entwicklung mit Scrum Detaillierung Threat Modell AbUser Story Tasks Security-Feature Tasks Sprint Planning Security Akzeptanzkriterien Security-Testfälle

30 Beispiel: Tasks für AbUser Stories

31 Sichere Agile Entwicklung mit Scrum Neue Security-Risiken diskutieren Daily Scrum Sprint Security Tasks ggf. neu planen Secure Design / Coding Pairing mit Security-Officer Security-Aware Definition of Done Security Regressions-Testing (CI) Security Code Reviews

32 Secure Design / Coding Security Patterns Clean Code Input Validierung Output Escaping Prepared SQL Statements Keine Fehlerdetails in UI Session Management Access Controls

33 Secure Design / Coding Sichere Fehlermeldungen

34 Secure Design / Coding Standard Frameworks Standard Kryptographie Keyczar, Bouncy Castle, Jasypt Frameworks mit Validierung / Escaping JavaServer Faces Spring MVC + Thymeleaf Vaadin (GWT) Robuste Security Frameworks Java EE Security Spring Security Apache Shiro OWASP ESAPI

35 DEMO: EINE SICHERE WEBANWENDUNG IN 5 MINUTEN

36 Agile Security Testing

37 Agile Security Testing Statische Code Analyse +

38 Agile Security Testing Code Review Code-Reviews (GitHub, GitLab, Gerrit, BitBucket, )

39 Crispin, Lisa; Gregory, Janet (2008). Agile Testing: Agile Security Testing - Test-Pyramide Business Manual, Exploratory Testing Complexity / Cost Automated UI-Tests Security Service Layer Tests (API-Layer) Integrationstests Unit & Component Tests Unit Tests Detail Technology Quantity

40 Agile Security Testing public void verifyadminpathauthorizeok() throws Exception { this.mvc.perform( get( "/admin" ).with(user("admin").password("admin").roles("admin") ) ).andexpect ( status ().isok () ); public void verifyadminpathauthorizenok() throws Exception { this.mvc.perform ( get( "/admin") }.with(user("user").password("secure").roles("user") ) ).andexpect ( status ().isforbidden () );

41 Stage 1: Statisches Security Testing Continuous Integration (CI) Build & Tests & Static Code Analysis 3 Check-Out 4 & Dependency Check 2 Trigger Build 5 Report Build Result 7 Push to Stable 1 Pull-Request Developer 2 6 (Security) Code- Review Developer 1

42 Stage 2: Dynamisches Security-Testing Acceptance Testing 3 Active Scanning 4 Reporting 1 Deploy 2 UI-Testing Proxy

43 Sichere Agile Entwicklung mit Scrum Review Threat Model Abdeckung Review von AbUser Stories Sprint Review & Retro Security Akzeptanzkriterien Transparenz der Security gegenüber Kunde Inspect And Adapt aller Security- Aktivitäten

44 Idealzustand: Security == Agile! Sprint 1 Sprint 2 Sprint n Story A Story B AbUser Story Security Features Story C Story D Story E AbUser Story Story F Story G Story H Pen- Test Go Live

45 Agile Security SECURE DEVOPS

46 SecDevOps = Security + DevOps Kommunikation Zusammenarbeit Werkzeuge Continuous Delivery

47 SecDevOps = Security + DevOps Continuous Delivery Auslieferbares Inkrement Product Backlog Sprint Betrieb / Support Security Security

48 SecDevOps = Security + DevOps Web- Anwendungs- Firewall Netzwerk- Firewall Netzwerk SSL Anwendungscode 3rd Party Bibliotheken Applikationsserver Java VM / Datenbank Betriebssystem Security Security

49 SecDevOps = Security + DevOps Product Owner Entwickler Scrum Master Test & QA Security- Officer Betrieb & Support

50 SecDevOps Testing Infrastructure As Code /usr/bin/ruby -S rspec spec/ Package "httpd" should be installed Service "httpd" should be enabled should be running Port "8443" should be listening Finished in seconds (files took 6.37 seconds to load) 4 examples, 0 failures

51 SecDevOps Kostenlose SSL-Zertifikate HTTPS für alle Websites!!

52 SecDevOps Sichere TLS (SSL) Konfiguration

53 SecDevOps HTTP Response-Header

54 Fazit Ausbildung für Security Security transparent machen Security-Aktivitäten im gesamten Entwicklungsprozess

55 Building secure cloud-native applications with spring boot and spring security /